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k PROCEDE DE GESTION DE L'AFFICHAGE DE DESCRIPTIFS 

W D'EVENEMENTS A ACCES CONDITIONNEL 
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La presente invention concerne un proced§ de gestion de I'affichage de 
descriptifs d'^venements a acces condltionnel, en particulier pour la 
television d p6age. 

Dans les systdmes a accds condltionnel. en particulier dans le domalne de 
la television numerique k p6age, un flux de donn§es numeriques est 
transmis vers le televiseur. Ce flux est chiffr6 afin de pouvoir en controler 
rutillsation et de definir des conditions pour une telle utilisation. Ce 
chlffrement est r6alis6 grSce ^ des mots de controle (Control Words) qui 
sont changes a Intervalle r6gulier (typiquement entre 5 et 30 secondes) afin 
de dissuader toute attaque visant a retrouver un tel mot de contrdle. 
Pour que le r6cepteur puisse dechiffrer le flux chlffr6 par ces mots de 
contrdle, ces derniers lul sont envoy^s ind6pendamment du flux dans des 
messages de controle (ECM) chiffr^s par une cie propre au systdme de 
transmission entre un centre de gestion et un module de s6curit6 de I'unite 
d'utilisateur. En effet, les operations de securite sont effectuees dans un 
module de s§curit6 (SC) qui est generalement realise sous la forme d'une 
carte a puce, r§putee inviolable. Ce module peut §tre soit de type amovible 
20 solt directement Int6gr§ au r6cepteur. 

Lors du dechlffrement d'un message de controle (ECM), il est verifie. dans 
le module de s6curlt6 (SC), que le droit pour acceder au flux considere est 
present. Ce droit peut §tre g6r6 par des messages d'autorisatlon (EMM) 
qui chargent un tel droit dans le module de s6curit6. D'autres posslbHit6s 
25 sont §galement envisageables telles que I'envoi de cI6s de dechlffrement. 
Pour la suite de l'expos6, on appellera "6venemenr un contenu viddo, 
audio (par exemple MP3) ou donnees (programme de jeu par exemple) qui 
est chiffi-e selon la m6thode connue des mots de contrdle, chaque 
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6v6nement pouvant etre chiffr§ par un ou plusieurs mots de contrdle, 
chacun ayant une duree de validity dStermin^e. 

La comptabilisation de rutlllsation de tels evenements est aujourd'hul 
basee sur le princIpe de I'abonnement, de I'achat d'evenements ou du 
s paiement par unit^ de temps. 

L'abonnement permet de d^finir un droit associS d un ou des canaux de 
dHTiision transmettant ces evenements et permet a I'utllisateur d'obtenir ces 
canaux en clair si le droit est present dans son module de security. 

Paralldlement, il est possible de d^finir des droits propres a un 6v6nement, 
10 tei qu'un film ou un match de football. L'utilisateur peut acquerir ce droit 
(achat par exemple) et cet evenement sera specifiquement gere par ce 
droit. Cette methode est connue sous I'appellation "pay-per-view" (PPV). 

Un message de contrdle (ECM) ne contlent pas uniquement le mot de 
contrdle, mais ^galement les conditions pour que ce mot soit renvoy6 au 
15 recepteur/d^codeur. Lors du dechiffrement des mots de contrdle, il sera 
v6rifie si un droit associe aux conditions d'accds 6noncees dans le 
message est present dans le module de s^curite. 

Le mot de contrdle n'est retourne a ('unite d'utilisateur que lorsque la 
comparaison est positive. Ce mot de contrdle est contenu dans un 
20 message de contrdle ECM qui est chiffre par une cl6 de transmission. 

Pour que le droit soit present dans le module de s6curit6, II est 
g6n6ralement charge dans ce module par un message d'autorisation 
(EMM) qui, pour des raisons de securite, est g6n6ralement chiffr6 par une 
cl6 difF^rente dite c\6 de droit (RK). 

25 Selon une forme connue de diffusion de television ^ peage, les trois 
6l§ments suivants sent n^cessalres pour d6chiffrer un evenement d un 
moment donn§: 

- les donn^es relatives ^ I'^v^nement chiffr^ par un ou une piuralite de 
mots de contrdle (CW), 



- ie ou les messages de controle ECM contenant les mots de contrdle 
(CW) et les conditions d'acces (AC) 

- Ie droit correspondent stocke dans Ie module de s6curit6 permettant 
de v6rifier les dites conditions d'acces. 

Lorsque I'on souhaHe rendre visible ^ un utilisateur, la liste des canaux ou 
services ou des 6v6nements auxquels ii a acces. de mdme que ceux pour 
lesquels il peut se procurer les droits, les principes decrits ci-dessus sont 
6galement utilises. Pour ceci. on utilise un guide §lectronique (EPG = 
Electronic Program Guide) et I'on affiche, par exemple en vert, les 
6venements ou canaux pour lesquels les droits sont d6j^ acquis et en 
rouge ceux pour lesquels les droits ne sont pas acquis. 
Lorsque la caract6risation des droits est simple, par exemple lorsque 
rutilisateur est abonn6 ^ certains services pr§d6finis pour une dur6e de 
validity d6termin6e, il est alse de gen6rer un EPG qui tienne compte de ces 
droits. Par centre, lorsque Ton souhalte g6rer des droits plus complexes, 
realiser des offres promotionnelles ou utiliser des conditions qui n'ont pas 
et6 prevues dans I'abonnement, les systdmes actuels ne pemiettent pas 
de g^rer facilement ces elements. 

La pr6sente invention se propose de pallier les lnconv§nients des 
dispositifs de I'art anterieur en r^alisant un dispositif dans lequel il est 
possible de g^rer des droits complexes en offrant done une grande 
souplesse d'utilisation § un diffuseur. 

Ce but est atleint par un proc6d6 de gestion de I'affichage de descriptifs 
d'ev6nements ^ acces conditionnel, comportant les 6tapes sulvantes: 
- envoi de donnees fonmant un guide electronique de programmes 
(EPG), ^ un d6codeur (STB), ce guide 6lectronique §tant destine ^ 
I'affichage des 6v§nements qui seront diffuses, ces donnees 
oomportent. pour chaque ev6nement, au molns un identifiant, des 
donnees textuelles et un bloc conditionnel comprenant les conditions 
requises pour I'acc^s d cet 6v6nement, 




- envoi d'au moins un message d'autorisatlon (EMM) a un module de 
securite (SC) associe au decodeur, ce message definissant des 
droits d'acods ^ un ev^nement; 

caractdrise en ce que le proc6d6 comporte en outre les stapes suivantes: 
5 - envoi audit module de s6curit6 (SC), du bloc conditionnel (PECM), 

- traitement, dans le module de s6curit§, de la condition d'acc§s 
contenue dans ledit bloc conditionnel (PECM), et 

- renvoi par le module de s6curite d'un message indiquant, en fonction 
de la condition d'acc^s pour chaque 6v6nement et des droits d'acces 

10 contenus dans le module de s6curit§, si le droit est pr^ent ou non 

pour chaque ^v6nement dans le module de securite. 

La pr6sente invention et ses avantages seront mieux compris en r6f6rence 
a ia description d'un mode de realisation particuiier et aux dessins 
15 annexes, dans lesquels : 

- la figure 1 illustre schSmatiquement un mode de realisation d'un 
guide electronique ERG selon I'art ant6rieur; 

- la figure 2 illustre scliematiquement le contenu d'un message de 
contrdle ECM utilise dans le mode de realisation de la figure 1; 

20 - la figure 3 illustre le contenu d'un message de controle ECM selon la 
presente invention; 

- la figure 4 illustre le contenu d'un bloc conditionnel utilise dans le 
systeme selon invention; et 

- la figure 5 represente un mode de realisation d'un guide electronique 
25 EPG selon I'invention. 

Les figures 1 et 2 decrivent des systdmes connus de I'art anterieur. Dans 
ces systemes, les donnees composant le guide electronique de 
programme EPG sont transmises par un canal de service et se composent 
d'lnformations horaires et textuelles, telles que notamment le titre de 




rev6nement, un descriptif et eventuellement des commentalres. Les 
donn^es de I'EPG contlennent egalement le service auquel cet ev6nement 
est rattache en terme de droit d'acc^s, les services etant references par 
exemple de S1 a S48. 

5 Paralieiement, rev6nement diffuse est accompagne par les messages de 
controle ECM qui contiennent un certain nombre de champs predefinis, 
portant les references 11 ^ 14 sur la figure 2, tels que notamment 
ridentlfiant de l*6v§nement (champ 13), le service auquel il est rattach6 
(champ 14), le mot de contrdle CW (champ 11), I'heure et la date de 

10 diffusion (champ 12) et eventuellement, un credit associ6 ^ r6v6nement. 
Grace ^ cette structure predefinie par des champs, la structure du 
message est definie de telle sorte que par exemple dans le champ 14. Ton 
va toujours trouver le num^ro d'un service SID. 

Ce service est initialise par un message d'autorisation EMM qui a pour but 
15 de d^finir un bloc d'abonnement dans le module de securite SC. ce bloc 
contenant entre autre la duree de validite de ce service. 

Pour afficher le guide electronique EPG sur le televiseur d'un utilisateur, le 
decodeur STB lit les droits contenus dans le module de s6curite SC c'est- 
a-dire les blocs definis plus haut. Plus precis§ment, il determine, d'apres 

20 ces droits, la liste des services disponibles ainsi que la duree ou la date de 
validity de chaque service. Le decodeur dispose done d'une part d'une 
base de donn^es provenant du module de security et contenant la liste des 
services disponibles avec leur dur^e de validity et d'autre part, d'une base 
de donnees destinies ^ I'EPG, qui contient la liste des evenements, le 

25 service auquel il est rattache et la date de diffusion. 

Pour chaque evdnement, le decodeur peut done verifier si le module de 
securite dispose du droit pour le service consider^ et si ce droit sera valide 
au moment de la diffusion de rev^nement. En fonction de la r6ponse de 
cette comparaison, I'evenement sera afflche dans I'EPG, par exemple en 




rouge si le droit n'est pas acquis et en vert si ce droit est acquis et done 
present dans le module de s^curit^. 

Sur la figure 1 , un "Yes" est affich^ dans la derniere colonne de I'EPG en 
regard de r6v6nement consider^ si le droit pour cet 6v6nement est acquis 
5 et un "No" dans le cas contraire. 

Au moment de la diffusion d'un evenement, les messages de contrdle 
ECM, contenant des mote de contrdle CW et associ^s a cet evenement, 
sont trait^s dans le module de s^urite de fagon d verifier {'existence de 
droits associ^s k cet 6venement. Si les droite sont presente, chaque 
10 message de contrdle ECM est trait6 de fagon a en extraire les mots de 
contrdle CW qu'il contient. Ce mot de contrdle est alors envoye au 
decodeur qui dechiffre alors les donnees qui ont ete chiffrees avec ce mot 
. de contrdle sp§cifique. . 

Ce mode de realisation fonctionne parfaitement lorsque les conditions sont 
IS simples, par exemple lorsqu'un utilisateur est abonn§ ^ un bouquet de 
services. Dans ce cas, le decodeur compare le contenu de champs 
predSfinis dans les informations composante I'EPG avec le contenu de la 
m^moire du module de s^curite et obtient une reponse directement 
exploitable. 

20 Lorsque I'on souhaite proposer des offres promotionnelles notemment, il 
peut §tre necessaire de definir des conditions complexes, pour lesquelles 
une structure fixe pr6d§finie de champs ne se revdie pas adapt^e. Un 
exemple d'une telle offre promotionnelle consiste a permettre un acces 
libre a un bouquet de canaux, le jour anniversaire de chaque abonn§. Avec 

25 un systdme conventionnei, une telle offre peut §tre propose, mais au prix 
d'une grande complexity. En effet, pour permettre ceci, il est necessaire de 
cr^er des droite suppl^mentaires, plus pricis^ment 365 blocs 
d'abonnement, correspondant chacun ^ un jour de I'annee. Ces droite sont 
ger^s comme les autres droite, ce qui signifie qu'ils sont transmis par des 

30 messages d'autorisation EMIVI. Ces messages doivent dtre envoys de 




fagon repetitive a tous les beneficiaires, de fagon a s'assurer que ceux-ci 
ont bien regu les droits. 

A la reception de ce message, un nouveau bloc d'abonnement sera cree 
dans le module de s6curit6 pour cette seuie utilisation. II est d noter que 
s ces messages vont accaparer de la bande passante et des moyens 
cryptographiques en particulier du fait que le niveau de chifTrement de ces 
messages est 6leve. 

Un autre exemple d'ofFre promotionnelle consiste k facturer un evenement 
donne selon plusieurs montants differents en fonction du type 

10 d'abonnement souscrit. Le titulaire d'un abonnement portant sur des 
chaTnes thematiques sportives peut par exemple payer un match de 
football ^ un prix d6termin6, alors que les personnes n'ayant pas ce type 
d'abonnement doivent payer un autre montant pour ce m§me matcli. Dans 
rstat actuel, 11 n'est pas possible de g^rer ce type de regies parce que 

15 I'identification de I'evenement est rigoureusement identlque pour tous les 
utilisateurs, alors que les conditions d'accds a cet evenement dependent 
de i'6venement et des paramdtres propres a un utiiisateur. 

Aujourd'hui, selon I'^tat de la technique, la solution consisterait ^ envoyer 
un message d'autorisation EMM propre a cheque utiiisateur avec le 
20 montant de I'evenement compte tenu de ses conditions propres. On 
imagine ais^ment le nombre de messages d transmettre pour satisfaire 
tous les utilisateurs. 

De fagon plus g^n^rale, pour pouvoir appliquer des conditions particulidres 
pour un evenement particulier, il est n6cessaire d'avoir prevu ces 

25 conditions par avance dans I'abonnement des utilisateurs concemes. Si tel 
n'est pas le cas, la gestion des cas particuliers peut se reveler difficile voire 
impossible. Dans tous les cas, pour generer des droits particuliers sur le 
module de security, il est n^cessaire d'envoyer des messages 
d'autorisation EMM, ^ une frequence suffisante pour s'assurer que la 

30 majority des utilisateurs a bien regu les droits qui lui sont destines. 



Ce mode de realisation est peu commode du fait qu'il encombre la 
memoire de fagon importante et que le trafic des messages d'autorisation 
EMM utilise Inutilement la bande passante disponible. 
Dans la figure 3 qui d6crit un mode de realisation de I'invention, le 
message de controle ECM contient non plus une donnee a un 
emplacement predefini, mais une operation Op. Celle-ci est §crite sous 
forme d'une requdte, en utillsant par exemple un langage syntaxique tel 
que celui connu sous I'acronyme SQL (Structured Query Language). 
Le pr6sente invention est particulierement avantageuse par rapport aux 
systemes connus de I'art ant6rieur par le fait que les conditions d6finies par 
des requites du type SQL peuvent etre imagln6es, modifiees ou utilisees 
de fagon tres souple. ^ n'importe quel moment. Le fait de s'affranchir de 
champs de dbnriees pr6definis dans les messages de contrdle ECM ouvre 
la voie ^ des combinaisons auxquelles I'on n'avait pas pense lors de la 
mise en route du syst^me et qui n'etaient par consequent pas pr§vues 
dans i'abonnement des utillsateurs. 

Cette gestion simplifiee a comma consequence de permettre de proposer 
des offres tres diversifiees, meme pour un groupe de personnes tr^s 
restrelnt. 11 est done possible de g^nerer des offres tr^s ciblees collant au 
plus pr^s les visions marketing de I'entreprise. 

Lors du traitement d'un tel message de controle ECM, rop^ration Op est 
traitee par le moteur SQL du module de security SC et du resultat 
d6pendra le renvoi ou non du mot de contrdle CW contenu dans ce mdme 
message. 

De m§me que pour les messages de controle ECM, il est 6galement prevu, 
dans le cadre de Tinvention, de remplacer les champs d'un message 
d'autorisation EMM par une requSte de type SQL. 




Les donnees m^moris6es dans le module de s6curite, definissant les blocs 
d'abonnement, restent inchang^es, seules les operations sur ces donnees 
changent. 

A titre d'exemple, une requSte de ce type pourrait §tre : 

s • Service S22 valide ou Date anniversaire = 10 octobre. 

Un autre exemple de requSte complexe pour un achat impulsif pourrait 
§tre : 

• Si le module de s6curit§ contient les droits pour les services S1 , S8 
et S12, deduire un montant de 4 USD pour l'6venement Ev 1, sinon, 
10 deduire un montant de 5 USD pour cet evenement. 

Dans ce mode de realisation, le dScodeur STB n'est pas habilite ^ traiter 
une requdte complexe en langage SQL, ceci pour des raisons de s^curit^ 
prioritairement. 

Dans le cadre de cette invention, la solution consiste a modifier des 
IS donnees transmises a I'EPG, cette modification consistant h inclure dans 
ces donnees un nouveau bloc qui est une copie partielle du message de 
contrdle ECM qui sera transmis avec i'^venement consider^. 

Ce bloc denomme bloc conditionnel (PECM) va comprendre au moins la 
meme requSte SQL que le message de contrdle duquel 11 est d6riv6. Selon 

20 rimpl^mentation choisie, les autres cliamps tels que le mot de contrdle 
pourront gtre supprimds. II est dalr que les messages de contrdle ECM 
sont transmis au moment oD I'^venement est visualise par I'utilisateur, 
puisqu'ils contiennent les mots de contrdle CW. Par contre, les blocs 
conditionnels doivent etre envoySs ^ I'avance puisqu'ils sont utilises pour 

25 former I'EPG qui permet d Tutillsateur de visualiser d I'avance. les droits 
qu'ii a d^jd acquis et ceux qu'il peut acqu^rir. 

Lors de la reception de ces donnees par I'EPG, ce bloc PECM sera 
transmis au module de s^curit^, qui lui, est capable de traiter des requStes 
complexes, notamment en langage SQL. 



Ce bloc PECM est illustre par la figure 4. Le module de s§curite traitera ce 
bloc condltlonnel de fagon conventlonnelle et pourra en extraire la requete 
SQL. Les conditions definies dans cette requete sont analys6es dans le 
module de s6curit6 et le resultat de la requSte est retransmis au decodeur 
STB. Gr§ce ^ ce resultat, I'EPG peut §tre afRche de la fagon expliqu6e 
precedemment, en reference ^ la description de I'art ant6rleur. 
Ce processus est repr6sent6 sch6matiquement par la figure 5. De fagon 
plus detaillee, les donnees pemiettant de fonmer I'EPG sont transmises au 
decodeur STB. Un bloc conditionnel PECM, contenant. sous forme de 
requete SQL, I'operatlon qui perniet de definir les conditions d'accds, est 
forme puis transmis au module de securite SC. Ce module traite la requ§te 
SQL. Les conditions de la requete SQL sont comparees aux droits Inscrits 
dans le module de s6curlt6, ce qui perniet de d6tenmlner pour quels 
6v§nements, les droits sont acquis ou peuvent Stre acquis. Ces droits 
disponibles sont associ6s aux donn6es de I'EPG. La liste des evenements 
est ensuite affichee sur le tel§viseur de Tutllisateur, en distinguant, pour 
chaque ev6nement si le module de securite dispose des droits ou non. 




Revendications 

1. Procede de gestion de I'afTichage de descriptifs d'^venements § acc^s 
conditionnel, comportant les stapes sulvantes: 

- envoi de donn6es formant un guide 6lectronique de programmes 
(EPG), a un dScodeur (STB), ce guide 6lectronique etant destine & 
I'affichage des 6v6nements qui seront diffuses, ces donn6es 
comportent, pour chaque evenement, au moins un identifiant, des 
donn^es textuelles et un bloc conditionnel comprenant les conditions 
requises pour I'accds a cet evenement, 

- envoi d'au moins un message d'autorisation (EIVIM) a un module de 
securite (SC) associ6 au decodeur, ce message d6finissant des 
droits d'acces a un evenement; 

caracterise en ce que le procede comporte en outre les etapes suivantes: 

- envoi audit module de s6curit6 (SC), du bloc conditionnel (PECM), 

- traitement, dans le module de securite, de la condition d'acces 
contenue dans ledit bloc conditionnel (PECM), et 

- renvoi par le module de securite d'un message indiquant, en fonction 
de la condition d'accds pour ciiaque evenement et des droits d'acces 
contenus dans le module de securite, si le droit est present ou non 
pour chaque 6v6nement dans le module de security. 

2. Proc6d6 de gestion selon la revendication 1 , caracteris6 en ce que la 
condition d'acces contenue dans le bloc conditionnel (PECM) est exprim§e 
sous la fomie d'une operation (Op) decrite par une requite en un langage 
structure. 

3. Proc6d6 de gestion selon la revendication 2, caracl6rls6 en ce que la 
requete est ^crite en langage SQL (Structured Query Language). 




4. Precede de gestion selon la revendication 1 , caracteris6 en ce qu'un 
evenement est chifTr^ par au moins un mot de contrdle (CW), ces mote de 
contrdle (CW) sont transmis au d6codeur (STB) sous ia forme d'un 
message de contrdle (ECM) chiffre comprenant Sgalement les conditions 
d'acces, ce procede consistant a transmettre dans le bloc de conditionnel 
(PECM) tout ou partie du message de contrdle (ECI\/I). 

5. Procede de gestion selon la revendication 4, caract6ris6 en ce que le 
bloc conditionnel (PECM) comprend uniquement les donnees relatives aux 
conditions d'accds contenues dans le message de contrdle (ECM). 

6. Procede de gestion selon la revendication 5, caract6rise en ce que 
lesdites donnees relatives aux conditions d'acces sont envoyees sous 
forme chifir^e dans le bloc conditionnel (PECM). 

7. Procede de gestion selon la revendication 5, caracterise en ce que 
lesdites donnees relatives aux conditions d'acces sont en clair dans le bloc 
conditionnel (PECM). 



ABREGE 



L'Invention a pour objet de gerer I'affichage de descriptifs d'ev§nements a 
accds conditionnel, notamment pour afficher un guide electronique de 
programmes pour la t6levision a p6age. 

Ce but est atteint par un procede comportant les etapes sulvantes: 

- envoi de donn^es fonmant un guide §lectronique de programmes 
(EPG), ^ un decodeur (STB), ces donn6es comportent, pour cliaque 
ev6nement, au moins un identifiant, des donn6es textuelles et un 
bloc conditionnel comprenant les conditions requises pour I'acces § 
cet evenement, 

- envoi d'au moins un message d'autorisation (EMM) a un module de 
securit6 (SC) associ6 au decodeur, ce message definissant des 
droits d'acces a un Evenement, 

- envoi audit module de s6curit§ (SC), du bloc conditionnel (PECM). 

- traitement, dans le module de securite, de la condition d'acces 
contenue dans ledit bloc conditionnel (PECM), et 

- renvoi par le module de security d'un message indiquant, en fonction 
de la condition d'acces pour chaque 6v§nement et des droits d'acces 
contenus dans le module de securite, si le droit est present ou non 
pour chaque §v§nement dans le module de s6curit6. 

Ce precede pemiet de gerer des requ§tes en langage structure et rend 
possible la gestion de conditions d'acces complexes. 



(Figure 5) 
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